Hvordan regne ut mulige kombinasjoner av passord?

[Jørnan]

Etter at forumet ble cracket og folk ble anbefalt å bytte passord kom jeg til å tenke på det med antall mulige kombinasjoner med passord. Før hadde jeg kun 4 siffer (mye flere nå), og hvor mange mulige kombinasjoner var det da? Og hva er formelen for å regne ut antall mulige kombinasjoner?

 

Hvis vi sier at koden er på 8 siffer, tillatte tegn er de vi har i alfabetet (men ikke æ, ø og å), tall og det skiller mellom store og små bokstaver. Vil det da være (26 + 26 + 10)8=496? Det syns jeg hørtes lite ut. Eller er det 26*26*10*8=54080.

 

Jeg mener å huske at at i boka da Vinco koden så fant de ut at en krypteks med 5 siffer, der tallene a-z var tilgjenglige kunne bli 12 millioner kombinasjoner. Hvordan kan det stemme? 26^5 blir 11881376, så skal du ta antall tegn opphøyd i antall tegn i passordet? Da skulle det bli (26+26+10)^8 som er 218.340.105.584.896 hvis jeg ikke har regnet helt feil. Er det mulig? Det er mange kombinasjoner ...

 

Men hvis jeg skal gå utifra at det som står i Da Vinci koden stemmer, så er det mye mer realistisk enn mine regnemåter ovenfor

[Zethyr]

Det er antall tegn til rådighet ^ lengde på passord, som skrevet av flere å trådene som ble opprettet etter angrepet.

 

Dette ser rimelig ut:

(26+26+10)^8 som er 218.340.105.584.896

[Knast]

(26+26+10)^8 = 218340105600000

 

Edit: Zethyr var før meg og har flere eksakte desimaler enn meg

Endret 2. november 2006 av lathorv

[JohndoeMAKT]

Og der er også grunnen til at alle administratorer i alle år har mast om store bokstaver, små bokstaver, tall og spesialtegn.

 

Dersom du bare er innom små bokstaver, bare bokstaver, bokstaver og tall eller vanligvis hele spekteret får du disse totalt antall permutasjoner.

 

26^8 = 208827064576

52^8 = 53459728531456

62^8 = 218340105584896

90^8 = 4304672100000000

 

Det siste tallet er omtrent 20 000 ganger større enn det første.

[Zethyr]

Det siste tallet er omtrent 20 000 ganger større enn det første.

7204924[/snapback]

Og enda viktigere blir det med økt passord-lengde. Med f.eks. 10 tegns-passord vil forskjellen utgjøre en faktor på rundt 250 000.

[JohndoeMAKT]

Å?

 

Faktorene for de fire tallene jeg har oppgitt blir vel :

26*26=676

52*52=2704

62*62=3844

90*90=8100

 

Ved å gå fra 8 tegn til 10 innen samme tegnområde.

[Zethyr]

Hm, feilrekning med calc.exe isåfall =/

Å regne med mus, ikke tastatur, er litt uvant.

 

edit: 8100/676 * 20000 ~= 240 000, er det ikke slik det regnes?

 

Stemmer omtrentlig med 90^10/26^10 (noen som har en kalkis og kan sjekke?)

Endret 2. november 2006 av Zethyr

[JohndoeMAKT]

Ah, du regner med både utvidelse fra 8 til 10 tegn og utvidelse fra det minste til det største utvalget.

 

Bare det å gå fra det minste til det største utvalget øker permutasjonene med en faktor på 20 000 og det å øke utvalget med 2 tegn med ~600-8000 og derfor øker det teoretisk sett sikkerheten mest i forhold til enkelhet å velge mer utspredde chars enn å utvide lengden.

 

Dette er kalkulert med

(90^10)/(90^8)=8100

(90^8)/(26^8)=~20 000

[Jørnan]

Hvordan er det da mulig å gjette passord? Selv med disse superdatamaskinene må det ta lang tid. Leste i Den Digitale Festning at de hadde en datamaskin (som vissnok er ekte) som hadde jobb å knekke koder. Denne knakk 64 bits koder (8 tegn?) på cirka 6 minutter. Det må være ganske mange passord i sekundet. Men når man har en slik dings er det vel ikke noe problem? Hvor lang tid ville en ekstremt bra, men ikke usannsynlig bra (noe alla det beste som finnes på markedet for normale mennesker), PC brukt på å knekke en 4, 8 og 10 siffret kode?

 

Hvis du har et sjeldent tegn i passordet, for eksempel ¤, |, * eller liknende, ville koden vært så godt som uknekklig da, siden datamaskinene mest sannsynlig ville bare ha forsøkt å bruke de vanligste tegnene?

 

Føler at jeg er ganske godt sikret nå. 10 tegn ...

Blir 839.299.365.868.340.224 kombinasjoer hvis jeg ikke har trykket feil (ja, teit å bruke datamus på kalkulator ). Selv den superdatamaskinen ville brukt over 5 minutter på å knekke koden

 

Edit: For å få det til å se enda værre ut:

Siden det er 8 bit i en byte betyr det at det er 6.714.394.926.946.721.792 kombinasjoner av 1 og 0-er i en kode på 10 tegn med 0-9, a-z og A-Z?

 

OT: Kalkulatoren i Windows greier å regne med mange siffer til å være en helt vanlig, uavansert kalkulator (ja, vet du kan utvide den til noe mer avansert)

Endret 2. november 2006 av jornan

[JohndoeMAKT]

Det er viktig å skille mellom kode(kryptert) og hash (digest) her. En kode er reversibel så lenge du har nok data og prosessorkraft men en digest er ikke reversibel og bruteforcing til du treffer rett er eneste mulighet.

[Jørnan]

Hva betyr egentlig det? Kan du prøve å forklare det litt enklere? Jeg forstår ikke. Hva er hash/digest?

[aklla]

er vel riktig det du sa i starten...

 

(antall tegn tilgjengelig)^(lenge på passord)

 

er en grunn til at man anbefalles å ha en lengde på 16 tall/bokstaver/tegn, er vist da det blir "umulig" å brute-force

[Zethyr]

18 530 201 888 518 410 000 000 000 000 000

 

Dette er 90^16. Snakker om heftig tall! Da må man bare stole på at algoritmen er sikker, og at ingen sniffer/logger passordet på noen annen måte.

[JohndoeMAKT]

En hash er en verdi sendt gjennom en enveisalgoritme. Ut fra denne algoritmen blir det spyttet ut et tall som ikke bakover kan analyseres (med mindre det er en feil i algoritmen) for å finne hvilket tall det representerer. For å finne ut hva en hash representerer må du bare begynne en plass og systematisk kjøre forskjellige verdier gjennom samme algoritme til du finner den samme hashen. Dette blir ofte lagret i en time-memory tradeoff tabell som Rainbow table.

 

Noe som er kryptert derimot er ikke enveis og det går ann å finne ut hva som orginalt er bak så lenge du finner rett "key". På slike data kan du bruke statistiske modeller, brute force, analyse ved å kontrollere plaintext mot ciphertext og mange andre ganske hardcore metoder for å finne verdiene bak. Feil og svakheter i algoritmen tror jeg også det er mer vanlig å finne og utnytte enn ved hash-algoritmer. Generelt sett vil jo mer data og informasjon du har gjøre det lettere å analysere, så for f.eks trådløs WEP kryptering trenger du et par minutter eller et par tusen packets for å få nok data til å med sikkerhet finne rett "key".

Endret 2. november 2006 av JohndoeMAKT

[Knast]

Men hva om de som cracka forumet har kopiert databasen og kan dekryptere den? Eller skiftes krypteringsnøkkelen så den ikke skal bli knekket nå som noen har kilder å teste på..

Endret 2. november 2006 av lathorv

[Zethyr]

Men hva om de som cracka forumet har kopiert databasen og kan dekryptere den? Eller skiftes krypteringsnøkkelen så den ikke skal bli knekket nå som noen har kilder å teste på..

7207118[/snapback]

Databasen har ikke krypterte passord, den har hashede passord. Det finnes ingen krypteringsnøkkel.

 

Forøvrig skal det godt gjøres å kopiere såpass mye info på såpass liten tid. Den linjekapasiteten har jeg lyst på.

[HeltNils]

En annen ting er at om man bruker ord, evt. ord + et eller to tall på slutten, i stedet for tilfeldige tegn, blir passordet mye svakere. Dette er veldig vanlig, så alle passordknekkere bruker en ordliste for å prøve seg fram med slike kombinasjoner. Det finnes bare noen få tusen ord, så det går mye fortere enn å prøve med alle mulige kombinasjoner av tegn.

[Jørnan]

Men ved å ha et passord som er tre telefonnummer er du vel ganske sikker? Det er 24 siffer ... Eller prøver hackerene alle nummerene i telefonkatalogen også?

[Zethyr]

Men ved å ha et passord som er tre telefonnummer er du vel ganske sikker? Det er 24 siffer ... Eller prøver hackerene alle nummerene i telefonkatalogen også?

7210854[/snapback]

16 tegn hvor man har tal, spesialtegn og bokstaver er sikrere. Dessuten kan "3 telefonnummer" brukes dersom det er noen som kjenner deg som et ute etter å knekke passordet ditt.

[ChrML]

Men ved å ha et passord som er tre telefonnummer er du vel ganske sikker? Det er 24 siffer ... Eller prøver hackerene alle nummerene i telefonkatalogen også?

7210854[/snapback]

16 tegn hvor man har tal, spesialtegn og bokstaver er sikrere. Dessuten kan "3 telefonnummer" brukes dersom det er noen som kjenner deg som et ute etter å knekke passordet ditt.

7211256[/snapback]

Lite sannsynlig at noen prøver akkurat de 3 telefonnummeren i riktig rekkefølge for å komme inn, men generellt er det ikke anbefalt å bruke personlige opplysninger og lignende som passord.

 

Du kan gjøre passordet ditt sikrere ved å for eksempel holde shift nede når du taster et av telefonnummerene dine. Da får du 8 tegn som er lett å huske med i passordet ditt og .